Compartilhar via

Envelhecimento e eliminação de DNS

Os servidores DNS que executam o Windows Server dão suporte a recursos de duração e eliminação. Esses recursos são fornecidos como um mecanismo para executar a limpeza e a remoção de registros de recursos obsoletos, que podem se acumular nos dados da zona ao longo do tempo.

Por que usar envelhecimento e limpeza

Com a atualização dinâmica, os registros de recursos são adicionados automaticamente às zonas quando os computadores são iniciados na rede. No entanto, em alguns casos, eles não são removidos automaticamente quando os computadores saem da rede. Por exemplo, se um computador registrar seu próprio registro de recurso de host (A) na inicialização e posteriormente for desconectado incorretamente da rede, seu registro de recurso de host (A) poderá não ser excluído. Se sua rede tiver usuários móveis e computadores, essa situação poderá ocorrer com frequência.

Se não for gerenciado, a presença de registros de recursos obsoletos nos dados da zona poderá causar alguns problemas. Os exemplos são os seguintes:

  • Se um grande número de registros de recursos obsoletos permanecer em zonas de servidor, eles poderão eventualmente ocupar espaço em disco do servidor e causar transferências de zona longa.
  • Os servidores DNS com registros de recursos obsoletos podem usar informações desatualizadas para responder a consultas de clientes, potencialmente fazendo com que os clientes tenham problemas de resolução de nomes na rede.
  • O acúmulo de registros de recursos obsoletos no servidor DNS pode prejudicar seu desempenho e capacidade de resposta.
  • Em alguns casos, a presença de um registro de recurso obsoleto em uma zona pode impedir que um nome de domínio DNS seja usado por outro computador ou dispositivo host.

Para resolver esses problemas, o serviço Servidor DNS possui os seguintes recursos:

  • Carimbo de data/hora, com base na data e hora atuais definidas no computador servidor, para todos os registros de recursos adicionados dinamicamente a zonas do tipo primário. Além disso, os carimbos de data/hora são registrados em zonas primárias padrão em que a duração/eliminação está habilitada.
  • Para registros de recursos adicionados manualmente, o servidor atribui um valor de carimbo de data/hora zero. O que significa que o processo de envelhecimento não se aplica. Esses registros podem permanecer nos dados da zona indefinidamente, a menos que você altere o carimbo de data/hora ou exclua-os.
  • O serviço Servidor DNS envelhece os registros de recursos em dados locais com base em um período de atualização especificado para todas as zonas qualificadas. Somente as zonas de tipo primário que o serviço Servidor DNS carrega podem participar desse processo.
  • Eliminação de todos os registros de recursos que persistem além do período de atualização especificado. Quando um servidor DNS executa uma operação de eliminação, ele pode determinar registros de recursos antigos a ponto de se tornarem obsoletos e removê-los dos dados da zona. Os servidores podem ser configurados para executar operações de eliminação recorrentes automaticamente ou você pode iniciar uma operação de eliminação imediata no servidor.

Aviso

Por padrão, o mecanismo de duração e eliminação do serviço Servidor DNS está desabilitado. Ele só deve ser ativado quando todos os parâmetros forem totalmente compreendidos. Caso contrário, o servidor pode ser configurado acidentalmente para excluir registros que não devem ser excluídos. Se um registro for excluído acidentalmente, os usuários não conseguirão resolver as consultas desse registro. Além disso, qualquer usuário pode criar o registro e se apropriar dele, mesmo em zonas configuradas para atualização dinâmica segura.

O servidor usa o carimbo de data/hora de cada registro de recurso para determinar quando eliminar registros. Você pode configurar propriedades de duração e eliminação para controlar esse processo.

Pré-requisitos

Antes que os recursos de envelhecimento e eliminação do DNS possam ser usados, várias condições devem ser atendidas:

  • A eliminação e a duração devem ser habilitadas no servidor DNS e na zona.

Por padrão, a duração e a eliminação de registros de recursos estão desabilitadas.

  • Os registros de recursos devem ser adicionados dinamicamente às zonas ou modificados manualmente para serem usados em operações de duração e eliminação.

Normalmente, apenas os registros de recursos adicionados dinamicamente usando o protocolo de atualização dinâmica do DNS estão sujeitos a envelhecimento e eliminação.

No entanto, você pode habilitar a eliminação de outros registros de recursos adicionados por meios não dinâmicos. Para registros adicionados usando um arquivo de zona baseado em texto de outro servidor DNS ou adicionados manualmente, o servidor define um carimbo de data/hora de zero. Um carimbo de data/hora zero torna esses registros inelegíveis para uso em operações de envelhecimento e eliminação.

Para alterar esse padrão, você pode configurar esses registros individualmente, redefinir e permitir que eles usem um valor de carimbo de data/hora atual (diferente de zero). Um valor de carimbo de data/hora atual (diferente de zero) permite que esses registros sejam envelhecidos e eliminados.

Dica

Ao alterar uma zona de uma zona primária padrão para integrada ao Active Directory, talvez você queira habilitar a eliminação de todos os registros de recursos existentes na zona. Para habilitar a duração para todos os registros de recursos existentes em uma zona, você pode usar o comando AgeAllRecords, que está disponível por meio da dnscmd ferramenta de linha de comando.

Terminologia

A lista a seguir indica os termos usados ao discutir envelhecimento e limpeza.

  • Hora atual do servidor A data e hora atuais no servidor DNS. Esse número pode ser expresso como um valor numérico exato a qualquer momento.

  • Intervalo sem atualização Um intervalo de tempo, determinado para cada zona, conforme limitado pelos dois eventos a seguir:

    • A data e a hora em que o registro foi atualizado pela última vez e seu carimbo de data/hora definido.
    • A data e a hora em que o registro fica disponível para atualização e tem seu carimbo de data/hora redefinido.

Esse valor é necessário para diminuir o número de operações de gravação no banco de dados do Active Directory. Por padrão, esse intervalo é definido como 7 dias.

Não deve ser aumentado a um nível excessivamente alto, porque os benefícios do recurso de envelhecimento e eliminação podem ser perdidos ou diminuídos.

  • Atualização de registro Quando uma atualização dinâmica de DNS é processada para um registro de recurso quando apenas o carimbo de data/hora do registro de recurso e nenhuma outra característica do registro são revisados. As atualizações geralmente ocorrem pelos seguintes motivos:

    • Quando um computador é reiniciado na rede, ele verifica se seu nome e endereço IP são os mesmos de antes de ser desligado. Se o nome e o endereço IP forem consistentes, o computador enviará uma atualização para renovar seus registros de recursos associados.
    • O computador envia uma atualização periódica enquanto está em execução.
    • O serviço de cliente DNS do Windows e do Windows Server renova o registro DNS de registros de recursos do cliente a cada 24 horas. Se a solicitação de atualização dinâmica não causar modificação no banco de dados DNS, uma atualização será executada.
    • Outro serviço de rede faz uma tentativa de atualização. Por exemplo:
      • Os servidores DHCP renovam uma concessão de endereço de cliente.
      • Os servidores de cluster registram e atualizam registros para um cluster.
      • O serviço Netlogon registra e atualiza os registros de recursos usados pelos controladores de domínio do Active Directory.

  • Atualização de registro Quando uma atualização dinâmica de DNS é processada para um registro de recurso em que outras características do registro, além de seu carimbo de data/hora, são revisadas. As atualizações geralmente ocorrem pelos seguintes motivos:

    • Quando um novo computador é adicionado à rede. Na inicialização, o computador envia uma atualização para registrar seus registros de recursos pela primeira vez com sua zona configurada.
    • Quando um computador com registros existentes na zona tem uma alteração no endereço IP, fazendo com que atualizações sejam enviadas para seus mapeamentos de nome para endereço revisados nos dados da zona DNS.
    • Quando o serviço Netlogon registra um novo controlador de domínio do Active Directory.

  • Intervalo de atualização Um intervalo de tempo, determinado para cada zona, conforme limitado pelos dois eventos distintos a seguir:

    • A data e a hora mais antigas em que o registro pode ser atualizado e ter seu carimbo de data/hora redefinido.
    • A data e a hora mais antigas em que o registro pode ser eliminado e removido do banco de dados da zona.

Esse valor deve ser grande o suficiente para permitir que todos os clientes atualizem seus registros. Por padrão, esse intervalo é definido como sete dias. O intervalo de atualização não deve ser configurado muito alto, pois os benefícios do recurso de envelhecimento e eliminação podem ser perdidos ou diminuídos. Considere os requisitos e o comportamento da sua rede ao definir esse valor.

  • Carimbo de data/hora do registro do recurso Um valor de data e hora usado pelo servidor DNS para determinar a remoção do registro de recurso quando ele executa operações de duração e eliminação.

  • Período de limpeza Quando a eliminação automática é habilitada no servidor, esse período representa o tempo entre as repetições do processo de eliminação automatizado. O valor padrão é sete dias. Para evitar a deterioração do desempenho do servidor DNS, o valor mínimo permitido é de uma hora.

  • Servidores de limpeza Um parâmetro de zona avançado opcional que permite especificar uma lista restrita de endereços IP para servidores DNS habilitados para executar a eliminação da zona. Por padrão, se esse parâmetro não for especificado, todos os servidores DNS que carregam uma zona integrada ao diretório (também habilitada para eliminação) tentarão executar a eliminação da zona. Em alguns casos, esse parâmetro pode ser útil se for preferível que a eliminação seja executada apenas em alguns servidores que carregam a zona integrada ao diretório. Para definir esse parâmetro, você deve especificar a lista de endereços IP para os servidores habilitados para eliminar a zona no parâmetro ScavengingServers da zona. Use o dnscmd comando para definir o parâmetro, dnscmd é uma ferramenta baseada em linha de comando para administrar servidores DNS do Windows. Como alternativa, você pode usar o cmdlet Set-DnsServerScavenging do PowerShell.

  • Comece a limpar o tempo Um tempo específico, expresso como um número. Esse tempo é usado pelo servidor para determinar quando uma zona fica disponível para eliminação.

Quando a limpeza pode começar

Depois que todos os pré-requisitos para habilitar o uso da eliminação forem atendidos, a eliminação poderá ser iniciada para uma zona do servidor quando a hora atual do servidor for maior que o valor da hora de início da eliminação para a zona.

O servidor define o valor de tempo para iniciar a eliminação por zona sempre que ocorrer qualquer um dos seguintes eventos:

  • As atualizações dinâmicas são habilitadas para a zona.
  • Uma alteração no estado da caixa de seleção Eliminar registros de recursos obsoletos é aplicada. Você pode usar o console DNS para modificar essa configuração em um servidor DNS aplicável ou em uma de suas zonas primárias.
  • O servidor ou serviço DNS é iniciado, fazendo com que o servidor carregue uma zona primária habilitada para usar a eliminação.
  • Quando uma zona retoma o serviço após ser pausada.

Quando qualquer um dos eventos anteriores ocorre, o servidor DNS define o valor de iniciar a eliminação calculando a seguinte soma:

Hora atual do servidor + Intervalo de atualização = Iniciar a hora de eliminação

Esse valor é usado como base de comparação durante as operações de eliminação.

Processo de exemplo de envelhecimento e eliminação de um registro

Para entender o processo de envelhecimento e eliminação no servidor, considere a vida útil e os estágios de um único registro de recurso.

No exemplo a seguir, um registro é adicionado a um servidor e a uma zona em que a duração e a eliminação estão habilitadas. Em seguida, envelhece e é eventualmente removido do banco de dados.

  1. Um host DNS de exemplo, host-a.example.contoso.com, registra seu registro de recurso de host (A) no servidor DNS para uma zona em que a duração/eliminação está habilitada para uso.

  2. Quando o servidor DNS registra o registro, ele coloca um carimbo de data/hora nesse registro com base na hora atual do servidor.

    Depois que o carimbo de data/hora do registro é gravado, o servidor DNS não aceita atualizações para esse registro durante o intervalo sem atualização da zona. No entanto, ele pode aceitar atualizações antes desse período. Por exemplo, se o endereço IP for host-a.example.contoso.com alterado, o servidor DNS poderá aceitar a atualização. Nesse caso, o servidor também atualiza (reinicia) o carimbo de data/hora do registro.

  3. Após a expiração do período sem atualização, o servidor começa a aceitar tentativas de atualizar esse registro.

    Após o término do período inicial sem atualização, o período de atualização começa imediatamente para o registro. Durante esse tempo, o servidor não suprime as tentativas de atualizar o registro para sua vida útil restante.

  4. Durante e após o período de atualização, se o servidor receber uma atualização para o registro, ele a processará.

    Isso redefine o carimbo de data/hora do registro com base no método descrito na etapa 2.

  5. Quando o servidor da zona executa a example.contoso.com eliminação subsequente, os registros (e todos os outros registros de zona) são examinados.

    Cada registro é comparado com a hora atual do servidor com base na seguinte soma para determinar se o registro deve ser removido:

    Registro de carimbo de data/hora + Intervalo sem atualização para a zona + Intervalo de atualização para a zona

    1. Se o valor dessa soma for maior que a hora atual do servidor, nenhuma ação será executada e o registro continuará a envelhecer na zona.

      Ou

    2. Se o valor dessa soma for menor que a hora atual do servidor, o registro será excluído dos dados da zona na memória do servidor e do repositório de objetos DnsZone no Active Directory para a zona integrada ao example.contoso.com diretório.